EP2912802B1

EP2912802B1 - Procédé et un dispositif pour simuler un réseau resistant contre les attaques

Info

Publication number: EP2912802B1
Application number: EP13786119.1A
Authority: EP
Inventors: Suzanne P. Hassell; Paul F. Beraud Iii; Alen Cruz; Gangahar GANGA; Brian J. MASTROPIETRO; Travis C. HESTER; David A. HYDE; Justin W. Toennies; Stephen R. Martin; Frank PIETRYKA; Niraj K. SRIVASTAVA
Original assignee: Raytheon Co
Current assignee: Raytheon Co
Priority date: 2012-10-23
Filing date: 2013-10-23
Publication date: 2018-11-21
Anticipated expiration: 2033-10-23
Also published as: US20150295948A1; WO2014066500A9; EP2912802A1; KR20150074150A; WO2014066500A1; KR101681855B1; US9954884B2; IL238136B

Claims

Procédé d'utilisation d'une structure de cyber-modélisation et de simulation, comprenant :
la réception, au niveau d'une interface d'ingestion, des données de réseau et de vulnérabilité associées à un noeud d'un réseau ciblé (210) ;

la présentation, sur un dispositif de visualisation de réseau (270), des données de réseau et des données de vulnérabilité ;

la création d'un modèle de réseau basé sur les données de réseau et de vulnérabilité présentées sur le dispositif de visualisation de réseau (270) ;

la simulation d'un lancement d'attaques de menace sur le réseau ciblé (210) ;

l'application, au lancement simulé d'attaques de menace, de défenses modélisées contre les attaques de menace ;

la production de résultats à partir de la simulation du lancement d'attaques de menace et de l'application des défenses modélisées ;

caractérisé par les étapes de :
réalisation d'une exploitation de données sur les résultats de simulation par utilisation de différents scénarios pour produire une exploitation de données, l'exploitation de données comprenant la simulation du lancement des mêmes attaques de menace sur le réseau ciblé (210) pour déterminer une représentation statistiquement significative des résultats lorsqu'au moins une des attaques de menace comprend un comportement émergent et une caractéristique imprévisible ; et

conception de stratégies de lutte contre les cyberattaques pour le réseau ciblé (210) basées sur la réalisation de l'exploitation de données.
Procédé selon la revendication 1, dans lequel la conception de stratégies de lutte contre les cyberattaques comprend la conception de stratégies de lutte contre les cyberattaques basées sur l'identification d'un point d'inflexion métrique dans l'exploitation de données ; et
dans lequel l'identification du point d'inflexion métrique dans l'exploitation de données comprend la visualisation de l'exploitation de données par utilisation du dispositif de visualisation de réseau et par analyse de l'exploitation de données visualisée pour détecter le point d'inflexion métrique.
Procédé selon la revendication 1, comprenant en outre le balayage du réseau en utilisant un scanneur de vulnérabilité (212) pour acheminer les données associées au noeud du réseau ciblé (210) à l'interface d'ingestion.
Procédé selon la revendication 1, dans lequel la présentation, sur le dispositif de visualisation de réseau (270), des données de réseau et des données de vulnérabilité comprend en outre la manipulation et la visualisation du réseau ciblé (210) simulé et la conduite d'opérations sur une arborescence de composants et sur des interconnexions associées au réseau ciblé (210).
Procédé selon la revendication 1, dans lequel la simulation du lancement d'attaques de menace et l'application des défenses modélisées comprend en outre l'établissement des attaques de menace en opposition avec le réseau ciblé (210) et les défenses sélectionnées.
Procédé selon la revendication 1, comprenant en outre :
le stockage des données résultant des exécutions de scénario créées par la simulation du lancement d'attaques de menace et l'application des défenses modélisées et l'accès aux données stockées en résultant ; ou

la présentation de l'exploitation de données pour post-traitement, afin de réduire une sortie de l'exploitation de données en un regroupement de données d'intérêt en fonction de métriques de résilience.
Procédé de la revendication 1, dans lequel la réalisation de l'exploitation de données comprend en outre la production de l'exploitation de données en fonction de métriques utilisées pour évaluer les techniques de résilience et les cybermenaces.
Procédé selon la revendication 1, dans lequel la réception, au niveau de l'interface d'ingestion, des données de réseau et de vulnérabilité, comprend en outre la réception des données de réseau et de vulnérabilité au niveau d'une interface commune unique pour des sources officielles disparates de données de dispositifs, d'applications, de matériel, de vulnérabilité et de faiblesse.
Structure de cyber-modélisation et de simulation, comprenant :
une interface d'ingestion de données de réseau et de vulnérabilité associées à un noeud d'un réseau ciblé (210) ;

un dispositif de visualisation de réseau (270) permettant de présenter les données de réseau et les données de vulnérabilité, et permettant de créer un modèle de réseau en fonction des données de réseau et de vulnérabilité ;

un simulateur d'analyse de menace (340) permettant de lancer des attaques de menace sur le réseau ciblé (210) et d'appliquer des défenses modélisées contre les cyberattaques, le simulateur d'analyse de menace (340) produisant des résultats de simulation ; et

caractérisé par :
un module d'exploitation de données permettant de réaliser une exploitation de données sur les résultats de simulation par utilisation de différents scénarios permettant de produire une exploitation de données à utiliser dans la conception de stratégies de lutte contre les cyberattaques, l'exploitation de données comprenant le lancement des mêmes attaques de menace sur le réseau ciblé pour déterminer une représentation statistiquement significative des résultats lorsqu'au moins une des attaques de menace comprend un comportement émergent et une caractéristique imprévisible.
Structure de cyber-modélisation et de simulation selon la revendication 9, dans laquelle les stratégies de lutte contre les cyberattaques sont basées sur une identification d'un point d'inflexion métrique dans l'exploitation de données ; et
dans laquelle l'identification du point d'inflexion métrique dans l'exploitation de données est basée sur la visualisation de l'exploitation de données par utilisation du dispositif de visualisation de réseau.
Structure de cyber-modélisation et de simulation selon la revendication 9, comprenant en outre un scanneur de vulnérabilité (212) permettant d'acheminer les données associées au noeud du réseau ciblé (210) à l'interface d'ingestion.
Structure de cyber-modélisation et de simulation selon la revendication 9, dans laquelle le dispositif de visualisation de réseau (270) est agencé pour manipuler et pour visualiser le réseau ciblé (210) simulé et pour conduire des opérations sur une arborescence de composants et sur des interconnexions associées au réseau ciblé (210).
Structure de cyber-modélisation et de simulation selon la revendication 9, dans laquelle le simulateur d'analyse de menace (340) est agencé pour établir les attaques de menace en opposition avec le réseau ciblé (210) et avec les défenses sélectionnées.
Structure de cyber-modélisation et de simulation selon la revendication 9 comprenant en outre :
un entrepôt de données agencé pour stocker les données résultant d'exécutions de scénario exécutées par le simulateur d'analyse de menace (340), les données en résultant étant accessibles pour analyse, ou

le dispositif de visualisation de réseau (270) est agencé pour présenter l'exploitation de données pour post-traitement afin de réduire une sortie de l'exploitation de données en un regroupement de données d'intérêt en fonction de métriques de résilience.
Structure de cyber-modélisation et de simulation selon la revendication 9, le module d'exploitation de données étant agencé pour produire l'exploitation de données en fonction de métriques utilisées pour évaluer les techniques de résilience et les cybermenaces ; ou
l'interface pour l'ingestion de données étant agencée pour utiliser une interface commune unique pour des sources officielles disparates de données de dispositifs, d'applications, de matériel, de vulnérabilité et de faiblesse ; ou

le dispositif de visualisation de réseau étant agencé pour visualiser une progression d'une cyberattaque animée sur l'illustration du réseau cible.